IT-Sicherheit

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Die Verwaltung rückt ins Fadenkreuz

jijomathai

Von David Schahinian

Der „Fall Dettelbach“ sorgte im Februar für großes Aufsehen. Schad­software, in diesem Fall die Ransom­ware TeslaCrypt, hatte nahezu die gesamte Verwaltung der unter­fränkischen Stadt lahm­gelegt. Die Daten auf den Behörden­rechnern waren plötzlich verschlüsselt. Zur Ent­schlüsselung verlangten die Erpresser ein Lösegeld.

Anzeige

Obwohl die Polizei in solchen Fällen dringend von einer Erfüllung der Forderung abrät, wusste sich Dettelbach nicht anders zu helfen, als zu zahlen. Wie viel, ist unbekannt. Das Ereignis wirft ein Schlaglicht auf die Bedrohungen, mit denen sich längst nicht mehr nur Unternehmen, sondern immer häufiger auch öffentliche Verwaltungen konfrontiert sehen.

Hinzu kommt, dass auch Behörden zunehmend gezwungen sind, flexiblere Arbeitsmöglichkeiten zu bieten, um als Arbeitgeber attraktiv zu bleiben. Die Nutzung von Smartphones oder die Genehmigung von Heimarbeit erhöht aber nicht nur die Flexibilität der Beschäftigten, sondern auch die Gefahr neuer Einfallstore für Hacker und andere Kriminelle. Wenn man bedenkt, dass Kommunen, Länder und der Bund Zugriff auf sensible Daten ihrer Bürger haben, ist ein hohes IT-Sicherheitsniveau unter dem Strich höchste Pflicht.

2016-05-30 Market Paper-Oeffentliche Verwaltungen 2016-05-17.jpg

Market Paper zum Download: Die techconsult-Marktstudie „IT-Sicherheit in öffentlichen Verwaltungen“ zeigt deutlichen Nachholbedarf. Im MittelstandsWiki gibt es die Studie kostenfrei als PDF-Datei zum Herunterladen.

Behörden sind leichte Beute

Die Praxis sieht anders aus, wie eine aktuelle Marktstudie des Analystenhauses techconsult zeigt. Eines der Kernergebnisse der repräsentativen Befragung mit mehr als 500 Interviews ist, dass öffentliche Verwaltungen in vielen Bereichen „deutliche Umsetzungsprobleme“ im Bereich der IT- und Informationssicherheit aufweisen. Mehr noch, sie sind sich der Gefahren offensichtlich weniger bewusst als mittelständische Unternehmen.

Der Digitalverband Bitkom hatte bereits im vergangenen Jahr vor zu viel Unachtsamkeit gewarnt: „Behörden sind ein attraktives Angriffsziel für Cyberkriminelle und Geheimdienste“, sagte Bitkom-Geschäftsleiterin Vertrauen und Sicherheit, Susanne Dehmel. Neben politischen Informationen seien die Angreifer auch an wirtschaftlich verwertbaren Hinweisen wie etwa Angaben zu Genehmigungs- oder Vergabeverfahren interessiert.

Vogel-Strauß-Taktik ist fehl am Platz

Stillstand ist Rückschritt – das ist ein Hauptproblem, das die techconsult-Studie aufgedeckt hat. Noch deutlicher wird das, wenn man die Umfrageergebnisse der Vorjahre hinzuzieht. Die Einschätzung der Bedrohungslage blieb seit 2014 nahezu konstant. „Zugleich ist die Bewertung der Umsetzung von Sicherheitsmaßnahmen und -lösungen jedoch kontinuierlich von 50 Indexpunkten im Jahr 2014 auf aktuell 45 Punkte zurückgegangen“, schreibt techconsult-Analyst Henrik Groß. Mit anderen Worten: Die Bedrohung steigt, der Schutz geht zurück. Bei allen gemessenen Faktoren der Umsetzung von Maßnahmen der IT- und Datensicherheit weisen öffentliche Verwaltungen deutlich häufiger Probleme auf als Mittelständler, so ein weiteres Ergebnis der Untersuchung.

Die Studienautoren legten den Schwerpunkt ihrer Analyse auf die technische Umsetzung der IT-Sicherheit. Sie nahmen unter anderem den Basisschutz wie Firewalls und Antivirenlösungen sowie die Absicherung mobiler Geräte unter die Lupe. Dass Letztere in öffentlichen Verwaltungen bisher noch weniger weit verbreitet sind als in Unternehmen, bedeutet nicht, dass die Gefahr geringer wäre. Geht nur ein Diensthandy verloren, wird es gestohlen oder gehackt, ist der Weg für Kriminelle unter Umständen bereits frei.

Einen Einblick in die aktuelle Situation bei den Bundesbehörden gibt der im November 2015 veröffentlichte Bericht zur „Lage der IT-Sicherheit in Deutschland“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Bei Überprüfungen beobachtete das BSI „regelmäßig grundlegende Sicherheitsmängel wie veraltete Patchstände von Betriebssystemen und Anwendungen“. Hinzu kamen deaktivierte Sicherheitsmechanismen, fehlende Netzwerküberwachung und Netzwerkzugangskontrollen, unzureichende Schulungs- oder Sensibilisierungsmaßnahmen sowie weitere Missstände. Und das Smartphone? Der Einsatz unverschlüsselter Mobilgeräte stelle bis heute „eine Herausforderung für IT-Sicherheitsverantwortliche dar“, heißt es in dem Bericht.

Fazit: Sensibilisierung, Weiterbildung und Cloud

Was also ist zu tun? Das BSI empfiehlt, dass sich das Personal in IT-Sicherheitsteams kontinuierlich mit den Risiken und der zunehmenden Komplexität der Anwendungen auseinandersetzt: „Dazu gehört eine angemessene personelle, technische und organisatorische Ausstattung, um die umfangreichen und dynamischen Aufgaben bewältigen zu können.“ Leichter gesagt als getan, wenn man bedenkt, dass das Geld in vielen Kommunen knapp ist und vor allem kleinere Behörden in der Regel kein großes Budget haben.

Eine Alternative können Security-as-a-Service-Lösungen sein, hebt techconsult-Analyst Groß hervor. Der Aufwand für die IT-Abteilung verringere sich erheblich: Sie muss sich beispielsweise nicht mehr um Patches und Updates kümmern, weil der Cloud-Betreiber sein Produkt selbst auf dem neuesten Stand hält. Die einfache Skalierbarkeit gilt als ein weiterer Vorteil solcher Lösungen. Das scheint sich in den Amtsstuben zunehmend herumzusprechen: Laut der Studie nutzt bereits gut die Hälfte der befragten Behörden solche Lösungen.

Nützliche Links